Cuando en abril de 2004 me peleaba por una de las escasas invitaciones para obtener una cuenta de gmail, no tenía ni idea que diez años tendría muchos ejemplos de porqué no es buena idea utilizar direcciones de correo que no están directamente bajo nuestro control. Ya tuve un ejemplo claro hace un año cuando recibí, sin pedirlo, el historial completo de un paciente así como el informe de evaluación de una operación a la que lo iban a someter.
El último ejemplo fue hace dos semanas. Sin previo aviso recibí un aviso de una universidad de Madrid donde daban la bienvenida a un tal Diego M… C… a sus clases. Aquel email terminó en el spam pero, unos días después me llegó un aviso de una agencia de transporte con el tracking para entregar un paquete de la universidad… en Barcelona. Spam. El tipo había puesto mi dirección de correo, o al menos una que no posee, en la ficha de una universidad. Y yo que creía haberlo visto casi todo. Así me fueron llegando avisos de los foros de las asignaturas, de la secretaría y aún más del transportista, ansioso por entregar el dichoso paquete. Hasta esta mañana, que he visto el buzón de spam lleno de sus emails y me he hartado.
Basándome en la premisa de que es mi cuenta de correo, he decidido solicitar una contraseña contra esa dirección y me la han dado. He cambiado la contraseña y, automáticamente me ha redirigido a la intranet donde, de un solo vistazo, he visto todo el daño que se podía hacer. He cerrado la sesión y he buscado a ese Diego por internet, con la esperanza de encontrar una dirección de email (que no fuese la mía). Al final, cansado de dar vueltas, le envié este mensaje por facebook:
hola…
Me llamo Diego Martínez Castañeda y, desde abril de 2004, tengo la cuenta de correo d… en gmail.com. Quizá no te diga nada pero yo empecé a saber de tí hace unas tres semanas, cuando decidiste usar una cuenta de correo que no posees para darte de alta en una universidad de Madrid. Desde entonces, todos los emails que genera esa universidad me han llegado a mí, entre otros, los de los foros de las asignaturas y los de la empresa de mensajería que te hizo llegar un paquete a Barcelona (que aún consta como no recibido).
No seré yo quien te comente los peligros de hacer este tipo de cosas porque, por ejemplo, la manera de recuperar una contraseña olvidada es a través de dicha cuenta de correo. En el caso de la universidad no hace falta ni saber el usuario para que envíen un enlace (al email) desde donde cambiar la contraseña. ¿Y luego? Luego tienes acceso al perfil completo en esa universidad y puedes, literalmente, hacer lo que quieras, desde dar altas y bajas de asignaturas a cancelar los estudios.
¿A qué viene este rollo? Es muy sencillo: me he cansado de recibir emails que nada tienen que ver conmigo porque un día te pareció bien usar mi cuenta así que me gustaría que la cambiases en todas aquellas cuentas en donde hayas podido usarla. Entiendo el porqué lo has hecho, a nadie nos gusta que nos llenen el buzón del email con spam o correos no solicitados pero, para el futuro, te recomiendo que te crees una cuenta de correo basura donde recibir todo eso o, mejor aún, que utilices servicios como yopmail.com para evitar el spam masivo.
Por último, si no eres el Diego M… C… que estoy buscando, te pido perdón por la intromisión y me gustaría que me lo dijeses para poder continuar buscando.
Un saludo,
Diego Martínez Castañeda
PD si eres ese Diego, respóndeme al email para hacerte llegar algo que es tuyo.
Como le comentaba, entiendo que no es agradable que nos llenen el buzón de correo con spam pero, sinceramente, utilizar una cuenta de correo ajena en algo tan delicado como la ficha de alumno de una universidad me parece imperdonable. Con ciertos servicios, el email es casi como el DNI y a nadie se le ocurre dejarlo por ahí.
De momento, sigo esperando respuesta de este Diego y algún otro ejemplo de mal uso del email.
6 ideas sobre “jodiendo con el email”
¿has considerado la opción de que haya sido un error? Que tenga, por ejemplo, la misma dirección @otracosa.com y se haya liado?
Yo tengo la misma pelea con una Daniela, colombiana, le gusta que le llamen Dani, y tiene un nivel de informática paupérrimo, muy a menudo consigue darse de alta en diferentes servicios con un email mio, luego empiezo a recibir tickets de asistencia que hablan de que la pobre Daniela no recibe los correos (aunque a veces es que no recibe los zapatos)
También me llegaban sus notificaciones de facebook, y eso, pese a estar en spam era muy molesto, porque cada vez que revisaba la maldita carpeta de Spam tenía a un montón de maromos llamándome guapa y mamita y queriéndo hacerme cosas que ni se lo que son, ni suenan apetecibles.
Finalmente también me puse en contacto con ella por facebook y pretendía que le reenviase todos los correos a su dirección, no llegué ni a planteármelo, pero pasé unas buena tarde de risa cuando ví que pretendía que se lo reenviase de nuevo…. a mi email!
Hola Dani(ela) cuanto tiempo…
no ha sido un error, créeme. No lo ha sido porque no había caracteres extra en la dirección, al estilo de gmail ni nada diferente. Había puesto el email completo y sin modificadores.
La verdad es que con tu historia y un par de ellas más podemos publicar un libro.
saludos!
¿Y desde el perfil de la universidad no pudiste encontrar ningún dato de contacto? (Dirección física, teléfono móvil…) A unas malas con su nombre y apellidos, quizá puedas contactar con la propia universidad para que sean ellos quienes cancelen la asociación de su perfil a tu e-mail y le soliciten uno nuevo.
A mi me cuesta creer que haya sido a propósito, hay que ser muy poco inteligente para hacer algo así.
no quise meterme en la parte administrativa del perfil. Quizá debería haberlo hecho pero me parece ir demasiado lejos. Si no contacta (aún no lo ha hecho), olvidaré este tema y el tipo tendrá un problema al llegar los grandes momentos académicos :).
Si no ha sido a propósito… ¿no quiere acceder a su cuenta de la universidad? Para mí, es un despropósito.
pero esto podrá haberte pasado con una dirección de correo bajo tu control. es un simple error humano al rellenar el formulario.
precisamente alguien usa mi dirección de correo desde Sudamérica y constantemente recibo altas en sitios web. muchas web no completan el registro por falta de confirmación, pero en cambio otras lo aceptan sin más, llenándome de spam mi buzón. si alguien sin querer o malintencionadamente usa tu correo p0r ahí, estas cosas pasan, tengas o no control sobre tu servicio de correo.
Bueno, tienes razón. Puede ser que sea una persona poco habituada a usar el correo – ese invento horroroso del «guasa» ha rebasado los horizontes del messenger, el skype y los mensajitos por fb – y es posible que no lo escribiera bien en el formulario, haciendolo coincidir con el tuyo. Puede ser falsa aunque eso es poco práctico porque como tu mismo has podido comprobar los estudiantes necesitan ese dato como tu bien dices un DNI, es decir como una Primary key en una base de datos : calificaciones, formularios de solicitud, seguimientos de becas etc. Pero tambien puede haber ocurrido lo que me ocurrió a mi.
Con objeto de aprendizaje y prácticas de pentesting me creé un perfil falso en facebook y evidentemente un perfil falso en hotmail para dar de alta la de fb. Una vez acabadas las prácticas di de baja la cuenta de fb, pero para mi sorpresa al abrir el correo de hotmail para hacer lo mismo, habia un sinfín de correos de beatrizcabrera@hotmail en mi bandeja. Es decir habia una verdadera beatrizcabrera con esa dirección igualita a la que me habia inventado – para mis objetivos el perfil inventado era el de una chica – y que vivia en Colombia. Esto me causaba un dilema básico porque involuntariamente estaba literalmente invadiendo la privacidad de una persona. Igual que si le hubiera robado la cuenta o peor ya que podia ver cada correo que escribia ella cada dia. No se porque ocurrió esto. Cada cuenta tiene una ID y cualquier cambio de localización es detectada por hotmail, de hecho si de pronto usas un proxy y abres el correo te pide una confirmación de que eres tu. Hace bastantes años el correo de hotmail no funcionaba muy bien en sudamerica, por eso era muy comun que los usuarios prefirieran yahoo. Pero esto ocurrió el año pasado. Algo se me pasaria por alto al usar las herramientas de penetración , o algo hice al crear un falso servidor. En fin lo que hice fue ponerle un correo a esta persona contandole lo que pasaba , le reenvie los correos por si había tenido pérdida de datos, le expliqué los pasos para volcar sus correos en otra cuenta y cerré la cuenta de [email protected] pensando que se cerraría para ella tambien. La sorpresa fue que a ella no se le cerró. Yo me quedé aliviado.
Probé si volvia a tener acceso y con satisfacción me denegaba la contraseña. La chica tenía apenas 17 años. Mi perfil falso de 28 quedó enterrado en el cibercementerio de las conexiones tcp/ip, pero sin duda esta es una vulnerabilidad muy curiosa ya que como tu mismo dices, una cuenta de correo es como un DNI porque tiene un ID único, pero es curiosa de estudiar porque todo el mundo lo dá por hecho y como dijo el malo de la pelicula, el mejor truco del diablo, fue hacer creer al mundo de que el no existía.